WatchGuard Technologies Inc.

Utilisation abusive d’Internet dans l’entreprise :

comment garder le contrôle ?

Pascal Le Digol

CISSP – Responsable Technique

Pierre Poggi

Strategic Account Manager

france@watchguard.com

Agenda

Internet dans l’entreprise

• Outil de communication et de progrès social

• Internet = de nouveaux risques pour l’entreprise

• Utilisation de l’accès au réseau et de la messagerie électronique pour

des fins personnelles

• Encadrer et limiter cette utilisation : outils juridiques et techniques

Garder le contrôle de ses flux

• Politique de sécurité / Changement de comportement des utilisateurs

• « Monitorer » et filtrer

• Inspection HTTPS : pour quoi faire ?

• Qui utilise la bande passante, avec quelles applications ?

• Un Botnet, c’est quoi ?

La Société

Fondée in 1996, HQ à Seattle, Washington

~500 employés

Pionnier dans l’appliance de sécurité (1996)

1ère société à utiliser les fonctions de proxies applicatifs transparent

(1997)

2006: rajout des fonctionnalités UTM (Unified Threat Management) sur

toute la gamme: Edge, Core, Peak.

Plus de 600,000 appliances déployées

Clients dans plus de 150 pays

Répartition des ventes mondiales

50% Americas (Canada, USA, South America)

38% EMEA

12% APAC

WatchGuard Security

SolutionsXCS

Anti-Spam

Web Security

Data Loss Prevention

Encryption

Queue Replication

XTM

Firewall

VPN

Reputation Enabled

Defense

SpamBlocker

WebBlocker

Gateway AV

Intrusion Prevention

Service

Utilisation d’Internet au sein de l’entreprise

Rencontre entre deux univers divergents Internet : monde de liberté individuelle

Entreprise : monde de règlementations et de préservation des droits des tiers

L’employeur est responsable des agissements de ses salariés Responsabilité civile de l’employeur du fait de ses préposés (article 1384

alinéa 5 du Code civil)

Prérogatives du pouvoir de direction: Fixer les modalités d’usage d’Internet et des TIC

Mettre en place des dispositifs de surveillance

Contrôler et sanctionner les abus

Les Lois HADOPI entrent dans le cadre de cette gestion des risques

(Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet)

Utilisation d’Internet au sein de l’entreprise

Internet = de nouveaux risques pour l’entreprise

1. Utilisation de l’accès au réseau à des fins personnelles, en laissant des traces de l’entreprise

2. Encombrement de la bande passante

3. Mise en cause de la sécurité informatique (virus, malware, botnet)

4. Téléchargement illicite de fichiers

5. Utilisation de la messagerie électronique à des fins personnelles

6. Divulgation d’informations confidentielles

7. Diffamations et injures en ligne ….

Article 6 – Délit de

négligences

« Obligation de surveillance par les usagers :

toute personne titulaire d'un accès à des

services de communication au public en ligne

aura l'obligation de veiller à ce que cet accès ne

fasse pas l'objet d'une utilisation à des fins de

reproduction, de représentation, de mise à

disposition ou de communication au public

d'œuvres ou d'objets protégés par le droit

d'auteur. »Les recommandations adressées aux abonnés par la HADOPI les

informent sur l'offre légale en ligne, sur la date et l'heure des

usages illicites constatés et sur l'existence de moyens de

sécurisation

Mais pourtant !!!!

Je suis protégé monsieur le

juge !!

Changement de comportement

des utilisateurs

Que vont faire les particuliers qui auront peur de

télécharger de chez eux ???

La peur du gendarme.... et de la coupure de la

connexion Internet les pousseront à télécharger

sur leur lieu de travail

L’éducation des utilisateurs sera à la fois plus

importante et … plus inutile….

Les outils Anti Hadopi 2

Paradoxalement, Hadopi 2 vulgarise ces techniques plus ou

moins évoluées auprès du grand public :

Metro, Les Echos , NouvelObs, etc… !!!

http://fr.wikipedia.org/wiki/Loi_Création_et_Internet

Blog Linux Manua (les 10 antidotes anti-hadopi)

jusqu’au routeur anti hadopi…

UltraSurf

UltraSurf est un anonymizer de seconde génération (et gratuit…)

Plus besoin d’aller sur un site Web Proxy , le logiciel le fait

directement en SSL avec des adresses multiples et dynamiques

Trafic complètement encrypté via les ports ouverts (auto détection

des ports disponibles en sortie par le logiciel)

Classement en France (Déc.10)

Rank Site Unique Visitors (users) Reach Page Views

1 facebook.com 23,000,000 50.80% 40,000,000,000

3 youtube.com 16,000,000 34.70% 3,300,000,000

9leboncoin.fr 8,100,000 17.80% 4,500,000,000

12dailymotion.com 6,200,000 13.50% 190,000,000

13 laredoute.fr 6,200,000 13.60% 270,000,000

18 ebay.fr 5,500,000 12% 1,200,000,000

19 partypoker.fr 5,100,000 11.20% 61,000,000

21amazon.fr 5,100,000 11.20% 370,000,000

22cdiscount.com 4,600,000 10.10% 370,000,000

33 deezer.com 3,500,000 7.60% 370,000,000

50 megaupload.com 2,600,000 5.70% 110,000,000

55 jeuxvideo.com 2,400,000 5.20% 210,000,000

59 lequipe.fr 2,200,000 4.70% 370,000,000

60vente-privee.com 2,200,000 4.70% 540,000,000

65 betclic.fr 2,000,000 4.30% 41,000,000

86 jeux.fr 1,800,000 4% 210,000,000

Filtrage des sites Web

Une première étape pour se protéger

Le filtrage d’URL est la première barrière pour empêcher les utilisateurs d’aller sur :

des sites de téléchargement,

sur des sites de streaming

des proxies relais

Internet

Contrôle d’ApplicationsSampling of 2,300+ total and 1,500 unique application signatures

Catégories Applications

Instant Messaging QQ; MSN; Yahoo; GoogleTalk

Mail Hotmail; Gmail; Yahoo; MS

Exchange

Web 2.0/Social Media Facebook; LinkedIn; Twitter

P2P Gnutella, Foxy, Winny;

Bittorrent; eMule

Remote Access Terminals TeamViewer; GoToMyPC

Database MS SQL; Oracle

File Transfer Peercast; Megaupload

Voice Over IP Skype

Streaming Media QuickTime; YouTube; Hulu

Network Management MS Update; Adobe; Norton;

McAfee

Tunnel (Web bypass

proxies)

Ultrasurf; Avoidr; Circumventor

Approved applications

Unapproved or harmful

applications

Comment bloquer les logiciels qui tentent

de se cacher ?

Inspection du contenu HTTP encrypté via SSL

Une fois décrypté, le flux est identifié comme flux HTTP légitime

ou comme du flux applicatif encapsulé en SSL

INTERNET

Site Web Sécurisé

Firebox HTTPS Inspection

La connexion ssl

récupère le certificat du

site web

L’utilisateur tente

d’accéder le site web en

HTTPS

Importation du

certificat pour

l’inspection HTTPS

du Firewall dans le

navigateur de

l’utilisateur

Un nouveau certificat avec le

détails du site web est signé

avec la clef du Firewall

La connexion ssl est établie avec un

certificat web resigné par le firewall

Analyse de contenu HTTPS

Tous les équipements de sécurité n’ont

pas les mêmes capacités

Tous les équipements de sécurité ne filtrent pas les sites Web

Tous les équipements de sécurité ne filtre pas le contenu des

pages Web

Tous les équipements de sécurité n’inspectent pas les flux

cryptés

Tous les équipements de sécurité ne disposent pas forcément

de la granularité voulue au niveau de la politique de sécurité

Etc...

Authentification transparente :

Qui est qui?

Authentification automatique des utilisateurs de l’AD, pas

d’authentification manuelle des utilisateurs (et donc pas de risque de

fraude) – association adresse IP – nom d’utilisateur

Utilisation d’un agent SSO pour donner les informations au Firewall de

manière automatique

Alice se logue

SSO Agent

Requête SSO

SSO Info

Utilisateur : Alice = IP 10.0.1.100

Alice autorisée sans avoir à s’identifier manuellement

Hadopi et les Botnets

L’entreprise a la responsabilité de se sécuriser et de

nettoyer son réseau des machines zombies

fournissant un partage ou des téléchargements

automatiques, avec les pénalités associées en cas

de manquement (les sanctions sont sur l’entreprise,

pas les employés)

Comment identifier un téléchargement d’un employé

par rapport à celui d’une machine Zombie? Ou tout

simplement… comment arriver à repérer les Botnets

qui sont de plus en plus perfectionnés ?!

Reputation Enabled Defense

Nouvel abonnement de sécurité

Disponible sur les appliances XCS et XTM dans les bundles sécurité

Bénéfices

Sécurité dynamique dans le Cloud

Surf Web plus rapide

Fonctionne de manière complémentaire avec AV, IPS et WebBlocker

Productivité augmentée en bloquant seulement une partie des sites

Tracer les connexions en temps réel

Affichage du débit par connexion et détection des comportements

« louches »

Trouvez qui utilise trop la bande passante et qui télécharge peut être !

Projet de Spécifications Fonctionnelles HADOPI (SFH)

« Les journaux sécurisés doivent être archivés et conservés par le titulaire de l’abonnement pendant la

période d’une année »

Élément 1 : Observation en temps réel et sans enregistrement des flux et protocoles qui transitent par

l’accès ; sur la base de l’observation et de la politique de sécurité choisie, une ou plusieurs des actions

techniques suivantes peuvent s’appliquer : laisser faire ou bloquer (selon des critères définis dans le

présent document, et qui incluent notamment le type de flux ou protocoles, selon le protocole

applicatif, des listes1, des caractéristiques de formats, de débits, de volumes, des

profils d’utilisateurs, des plages horaires).

Élément 2 : Analyse optionnelle de la gestion de configuration informatique (ex : analyse statique de la

configuration de postes informatiques ; logiciels installés), analyse statique de la configuration réseau (ex :

analyse de la configuration routeur / boîtier ADSL) ; analyse dynamique des logiciels en fonctionnement, et

contrôle des utilisations par le titulaire de la connexion.

Élément 3 : Affichage de notifications et d’alertes pédagogiques (ex : « Vous allez télécharger un fichier en

utilisant le protocole pair à pair « nom du protocole » : voulez-vous continuer ? »).

Élément 4 : Double journalisation (version normale en clair et version sécurisée ; les deux versions sont

identiques, sauf si la version en clair est manipulée) des événements significatifs (ex : éléments de la vie

interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité,

etc. ;

Les éléments 1, 2 et 3 sont à la discrétion et dans les termes choisis par le titulaire. L’élément 4 est

obligatoire et s’opère automatiquement dès lors que le moyen de sécurisation est en

fonctionnement (même si les éléments 1, 2 et 3 ne sont pas activés).

Archivage des logs

L’Administrateur Réseau et Système consulte logs et

rapports

Le Firebox envoie ses logs chiffrés au

Serveur de Logs

Les Logs sont stockés dans une base SQL et archivés pour la durée

légale nécessaire

Serveur de Logs et Rapports

WatchGuard Log Server

Protocole propriétaire basé sur TCP (en mode connecté)

Automatiquement Chiffré

Mécanisme de backup

Alternative au standard de fait “Syslog” qui ne convient pas à cette fonction

Le WatchGuard Log Server est inclut en standard avec les produits WatchGuard

Log / Report Architecture

Logs are stored in a SQL Database

FireboxLog Server

Firebox connects to Log Server to

store the logs

Log Viewer

Report Manager Report Server

Automatic

Refresh of reports

Génération de rapports sur les utilisateurs

27

Les rapports deviennent une

obligation pour s’assurer du

bon usage d’internet par ses

utilisateurs

Un outil essentiel pour affiner

la politique de sécurité

Réponse Graduée

Ajustement de la charte d’entreprise

La Charte d’entreprise devra refléter les obligations

de l’entreprise vis-à-vis de cette loi

Quid de la Politique de sécurité en entreprise

Arriver à bloquer tous les types de trafic de type

téléchargement ou streaming va devenir un casse

tête pour les administrateurs

WatchGuard’s Best-In-Class SecurityMoving Security Forward

Protéger votre réseau en intégrant les meilleures technologies de sécurité pour vous permettre de gérer les risques, et

amélorier l’éfficacité.

XTM, XCS et VPN SSL

Une combinaison de solutions regroupées dans une seule appliance.

Résumé des Avantages :

Simple à installer et à administrerProductivité

améliorée

Moins de problèmes d’administration :

Appliance « tout-en-un »Couts d’exploitation faibles

Permet la mise en place de règles spécifiques

fonctionnalités d’audit et reporting en standard

Compliance

assurée

Les services LiveSecurity offre le Support Technique, les mises à jour mineures et ainsi que la garantie matérielle avec échange anticipé.

Retour sur Investissement maximisé

Merci !